Une nouvelle opération de ransomware nommée » Fog » a été lancée début mai 2024, utilisant des informations d’identification VPN compromises pour violer les réseaux d’organisations éducatives aux États-Unis.
Fog a été découvert par Arctic Wolf Labs, qui a signalé que l’opération de ransomware n’avait pas encore mis en place de portail d’extorsion et n’avait pas été observée en train de voler des données.
Cependant, Breachtrace peut confirmer que le gang de ransomwares vole des données pour des attaques de double extorsion, en utilisant les données comme levier pour effrayer les victimes et les inciter à payer.
VPN pour l’accès initial
Les opérateurs de Fog ont accédé aux environnements des victimes en utilisant des informations d’identification VPN compromises provenant d’au moins deux fournisseurs de passerelles VPN différents.
« Dans chacun des cas étudiés, des preuves médico-légales ont indiqué que les auteurs de menaces pouvaient accéder aux environnements des victimes en exploitant des informations d’identification VPN compromises », explique Artic Wolf Labs.
« Notamment, l’accès à distance s’est produit via deux fournisseurs de passerelles VPN distincts. La dernière activité de menace documentée dans nos cas s’est produite le 23 mai 2024. »
Une fois qu’ils ont accès au réseau interne, les attaquants effectuent des attaques « pass-the-hash » sur les comptes administrateurs, qui sont utilisés pour établir des connexions RDP aux serveurs Windows exécutant Hyper-V.
Alternativement, le bourrage d’informations d’identification est utilisé pour détourner des comptes précieux, suivi du déploiement de PsExec sur plusieurs hôtes.
Sur les serveurs Windows, les opérateurs de brouillard désactivent Windows Defender pour empêcher les notifications d’alerter la victime avant l’exécution du chiffreur.
Lorsque le ransomware est déployé, il effectue des appels d’API Windows pour collecter des informations sur le système, telles que le nombre de processeurs logiques disponibles pour allouer des threads pour une routine de chiffrement multithread.
Avant de commencer le chiffrement, le ransomware termine une liste de processus et de services basée sur une liste codée en dur dans sa configuration.
Le ransomware chiffre les fichiers VMDK dans le stockage des machines virtuelles (VM) et supprime les sauvegardes du stockage d’objets dans les clichés instantanés de volumes Veeam et Windows pour empêcher une restauration facile.
Les fichiers cryptés sont ajoutés le ‘.BROUILLARD ‘ou’.Extension FLOQUÉE, bien que cela puisse être défini à partir du bloc de configuration basé sur JSON sur tout ce que l’opérateur souhaite.
Enfin, une demande de rançon est créée et déposée sur les répertoires concernés, fournissant des instructions aux victimes sur le paiement d’une clé de déchiffrement qui les aidera à récupérer leurs fichiers.
À partir d’une attaque vue par Breachtrace , la demande de rançon est nommée readme.txt et contient un lien vers un site Web sombre de Tor utilisé pour la négociation. Ce site est une interface de discussion de base permettant à la victime du ransomware de négocier une demande de rançon avec les acteurs de la menace et d’obtenir une liste des fichiers volés.
Breachtrace peut également confirmer que le site de négociation Tor est le même pour les deux .BROUILLARD et .Extensions FLOQUÉES, avec des attaques en cours utilisant l’une ou l’autre extension.
Lors d’une attaque vue par Breachtrace , le gang de ransomwares a demandé à des centaines de milliers de personnes de recevoir un déchiffreur et de supprimer les données volées. Cependant, c’est probablement plus pour les grandes entreprises.
Arctic Wolf Labs dit qu’il n’est actuellement pas clair si Fog fonctionne comme un ransomware ouvert en tant que service (RaaS) qui accepte les affiliés ou si un petit cercle privé de cybercriminels est derrière cela.